banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Thiết lập c/sách bảo mật cho web server, fpt server?  XML
  [Question]   Thiết lập c/sách bảo mật cho web server, fpt server? 02/12/2007 22:16:19 (+0700) | #1 | 101555
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]
Một host làm web server, fpt server cần cài đặt chính sách bảo mật cho firewall như thế nào?(ngăn mọi nguồn có khả năng gây nguy hại có thể, chỉ dùng packet filter, không dùng NAT, và áp dụng allow_all)



[Up] [Print Copy]
  [Question]   Thiết lập c/sách bảo mật cho web server, fpt server? 03/12/2007 17:18:49 (+0700) | #2 | 101702
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

enn3exlibs wrote:
Một host làm web server, fpt server cần cài đặt chính sách bảo mật cho firewall như thế nào?(ngăn mọi nguồn có khả năng gây nguy hại có thể, chỉ dùng packet filter, không dùng NAT, và áp dụng allow_all)



 


Trước khi trả lời thắc mắc này, tớ có 2 câu hỏi:

1) Packet filter firewall có khả năng thế nào?

2) Nguy hại đang được đề cập ở đây nằm ở mức độ nào?

Bồ trả lời 2 câu này rồi tớ sẽ góp ý.

PS: lần sau nhớ post bài đúng phân mục. Bài này thuộc diện bảo mật cho nên không nên post trong phân mục thâm nhập.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Thiết lập c/sách bảo mật cho web server, fpt server? 03/12/2007 22:50:21 (+0700) | #3 | 101712
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

conmale wrote:

Trước khi trả lời thắc mắc này, tớ có 2 câu hỏi:

1) Packet filter firewall có khả năng thế nào?
 

Packet filter fw có thể lọc các giao thức ip, udp, tcp, icmp, egp,...
Packet filter fw có thể lọc hầu hêt các fields và options trong header của tcp, udp, ip,icmp
Packet filter fw có thể lọc các fragment, giới hạn số kết nối từ 1 IP, lọc các SYN request,...
Packet filter fw có hỗ trợ stateful

conmale wrote:

2) Nguy hại đang được đề cập ở đây nằm ở mức độ nào?
 

Cái này thì thật sự không rõ em mới hỏi đây. Chẳng hạn, em sẽ tạo rule hủy ICMP request đi vào,... còn nhiều nữa không rõ( đang hỏi)




[Up] [Print Copy]
  [Question]   Thiết lập c/sách bảo mật cho web server, fpt server? 03/12/2007 22:55:58 (+0700) | #4 | 101713
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

enn3exlibs wrote:


conmale wrote:

2) Nguy hại đang được đề cập ở đây nằm ở mức độ nào?
 

Cái này thì thật sự không rõ em mới hỏi đây. Chẳng hạn, em sẽ tạo rule hủy ICMP request đi vào,... còn nhiều nữa không rõ( đang hỏi)

 


Cái này không phải là nguy hại mà là hành động tạo rule để cản một điểm mang tính nguy hại.

Hỏi lại theo cách khác: theo bồ, thế nào là nguy hại đến web server của bồ?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 03/12/2007 23:28:50 (+0700) | #5 | 101721
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]
vâng, để trả lời cho câu hỏi 2 em đã nói thật sự không rõ, nếu rõ thì có lẽ em sẽ tự thiết lập policy rồi mà không phải hỏi dd, còn cái luật em đưa ra không phải để trả lời cho câu số 2, nó chỉ bổ sung cho mục đích hỏi của em.







ps: thật sự thì hỏi để học hỏi, tìm hiểu chứ không có điều kiện làm server, dùng Internet ở dịch vụ
không quote được vì mạng chậm quá, dù sao cũng thanks anh đã tham gia chủ đề
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 03/12/2007 23:48:02 (+0700) | #6 | 101724
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

enn3exlibs wrote:
vâng, để trả lời cho câu hỏi 2 em đã nói thật sự không rõ, nếu rõ thì có lẽ em sẽ tự thiết lập policy rồi mà không phải hỏi dd, còn cái luật em đưa ra không phải để trả lời cho câu số 2, nó chỉ bổ sung cho mục đích hỏi của em.


ps: thật sự thì hỏi để học hỏi, tìm hiểu chứ không có điều kiện làm server, dùng Internet ở dịch vụ
không quote được vì mạng chậm quá, dù sao cũng thanks anh đã tham gia chủ đề 


Hì hì, anh đang gợi ý để em "học hỏi" đấy.

Một khi em hiểu rõ chức năng của một packet filter firewall là gì thì tự nhiên em sẽ nắm được giới hạn nó dùng để bảo vệ một máy chủ ở chỗ nào.

Một packet filter (không có state) chỉ đơn giản cho phép hoặc cản trở request đi từ điểm A đến điểm B xuyên qua cổng nào nào đó. Ví dụ, trên server của em có 100 dịch vụ (có 100 cổng đang lắng nghe) nhưng em chỉ muốn cho phép công cộng truy cập được 2 cổng là 80 (http) và 21 (ftp) thì packet filter FW chỉ đơn thuần ACCEPT traffic đi đến (và đi từ) 2 cổng trên. Điều này có nghĩa là packet filter FW đã xong trách nhiệm.

Với hoàn cảnh như trên, các biến thái tấn công ở tầng IP đều có thể xảy ra vì FW không phải là stateful firewall. Hơn thế nữa, các biến thái tấn công cụ thể đến http và ftp hoàn toàn có thể xảy ra bởi vì paket filter firewall không hề cản traffic đi đến các cổng này. Bởi thế, câu hỏi "ngăn mọi nguồn có khả năng gây nguy hại có thể" có câu trả lời rất đơn giản: không ngăn chặn được bao nhiêu cả.

Sau khi đọc phần lý giải ở trên, em hãy tự suy gẫm xem: mối liên hệ giữa một chức năng và một yêu cầu nào đó quan trọng như thế nào trong việc hình thành một quyết định.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 04/12/2007 01:19:30 (+0700) | #7 | 101729
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]
Nhưng có lẽ anh "hướng" ra ngoài câu hỏi của em rồi.
Trong câu hỏi có các điều kiện:
. không dùng NAT
. chỉ packet filter(stateful)
. allow_all( không phải deny_all)

có lẽ không có ai cài đặt trong điều kiện "bất lợi" như thế này( chỉ để tìm hiểu mà, càng bất lợi càng nhiều nguy hại), mục đích xa hơn của em trong câu hỏi là: chẳng hạn có một ai gợi ý, trong policy của anh nên có rule A, rule B, rule C... và em tiếp tục tìm hiểu từ những gợi ý này vì sao phải có những rule này.


[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 04/12/2007 20:02:15 (+0700) | #8 | 101858
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Chào enn3exlibs,

Sao bạn lại đi ngược thế kia. Người ta từ Yêu cầu bảo mật mới có thể thiết kế các policy cho hợp lý mà bạn lại muốn từ các policy để tìm hiểu? Hơn nữa, nếu ai dám mạnh miệng trả lời bạn là cần RuleA, RuleB vân vân khi chưa rõ yêu cầu cụ thể của bạn là gì thì bạn cũng đừng nên nghe theo.

Các điều kiện bạn đưa ra: Không NAT, stateful packet filter hoàn toàn không giúp ích gì cho việc thiết kế một bộ policy cho thích hợp. Chỉ có cái default allow all (khoai đoán ý bạn là thế) là có thể ứng dụng thành một rule trong policy bảo mật của bạn mà thôi. Bạn có thể tự hỏi mình vài câu:

1. Bạn có dịch vụ gì?
2. Ai có quyền sử dụng dịch vụ đó.
3. Ai không có quyền sử dụng dịch vụ.
4. Sử dụng thế nào thì là thích hợp, thế nào là không thích hợp.

khoai
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 04/12/2007 22:55:03 (+0700) | #9 | 101872
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]
chào Khoai,

Mr.Khoai wrote:

Sao bạn lại đi ngược thế kia. Người ta từ Yêu cầu bảo mật mới có thể thiết kế các policy cho hợp lý mà bạn lại muốn từ các policy để tìm hiểu? Hơn nữa, nếu ai dám mạnh miệng trả lời bạn là cần RuleA, RuleB vân vân khi chưa rõ yêu cầu cụ thể của bạn là gì thì bạn cũng đừng nên nghe theo.

Các điều kiện bạn đưa ra: Không NAT, stateful packet filter hoàn toàn không giúp ích gì cho việc thiết kế một bộ policy cho thích hợp. Chỉ có cái default allow all (khoai đoán ý bạn là thế) là có thể ứng dụng thành một rule trong policy bảo mật của bạn mà thôi. Bạn có thể tự hỏi mình vài câu:

1. Bạn có dịch vụ gì?
2. Ai có quyền sử dụng dịch vụ đó.
3. Ai không có quyền sử dụng dịch vụ.
4. Sử dụng thế nào thì là thích hợp, thế nào là không thích hợp.
 

Đúng như bạn nói, policy như thế nào tùy vào yêu cấu bảo mật cụ thể của từng đơn vị, từng doanh nghiệp. Ở đây yêu cầu cụ thể chỉ là bảo mật cho web server khi tham gia Internet, nếu như dùng policy deny_all thì đơn giản, mình chỉ việc tạo ra rule:

allow tcp from any to server 80 in [keep-state]
allow tcp from server 80 to any out [keep-state]
deny ip from any to any

Mình muốn tìm hiểu dùng policy allow_all thì cần những rule deny gì( mình ví dụ tạo luật hủy các ICMP đi vào để ngăng ping, chặn tấn công làm lụt ICMP, drop ngẫu nhiên các packet trong trường hợp bị DOS ...)



[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 04/12/2007 23:04:02 (+0700) | #10 | 101873
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

enn3exlibs wrote:
....
Mình muốn tìm hiểu dùng policy allow_all thì cần những rule deny gì( mình ví dụ tạo luật hủy các ICMP đi vào để ngăng ping, chặn tấn công làm lụt ICMP, drop ngẫu nhiên các packet trong trường hợp bị DOS ...)



 


Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 04/12/2007 23:41:13 (+0700) | #11 | 101882
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

conmale wrote:

enn3exlibs wrote:
....
Mình muốn tìm hiểu dùng policy allow_all thì cần những rule deny gì( mình ví dụ tạo luật hủy các ICMP đi vào để ngăng ping, chặn tấn công làm lụt ICMP, drop ngẫu nhiên các packet trong trường hợp bị DOS ...)


 


Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy? 


em đang đọc tài liệu về fw, thử so sánh hai hướng triển khai deny_all và allow_all, thắc mắc của em không yêu cầu nhiều kiến thức về fw mà cần nhiều kiến thức về network.


[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 04/12/2007 23:48:10 (+0700) | #12 | 101884
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

enn3exlibs wrote:

conmale wrote:

enn3exlibs wrote:
....
Mình muốn tìm hiểu dùng policy allow_all thì cần những rule deny gì( mình ví dụ tạo luật hủy các ICMP đi vào để ngăng ping, chặn tấn công làm lụt ICMP, drop ngẫu nhiên các packet trong trường hợp bị DOS ...)


 


Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy? 


em đang đọc tài liệu về fw, thử so sánh hai hướng triển khai deny_all và allow_all, thắc mắc của em không yêu cầu nhiều kiến thức về fw mà cần nhiều kiến thức về network.


 


Em vẫn không tập trung trả lời câu hỏi của anh. Câu hồi đáp của em ở trên không dính dáng gì đến câu anh hỏi cả.

deny và allow là những khái niệm gì mà chỉ cần nhiều kiến thức về network mà không cần nhiều kiến thức về fw?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 05/12/2007 00:35:58 (+0700) | #13 | 101894
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

conmale wrote:

enn3exlibs wrote:

conmale wrote:

Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy? 


em đang đọc tài liệu về fw, thử so sánh hai hướng triển khai deny_all và allow_all, thắc mắc của em không yêu cầu nhiều kiến thức về fw mà cần nhiều kiến thức về network.


 


Em vẫn không tập trung trả lời câu hỏi của anh. Câu hồi đáp của em ở trên không dính dáng gì đến câu anh hỏi cả.

 

chào anh, em đã nói ở trên rồi mà chắc anh chỉ đọc lướt qua, em đặt ra vấn đề chỉ vì mục đích tìm hiểu, học hỏi, em hi vọng không nhầm với ý khi nào, điều kiện nào thì cần triển khai hướng allow_all

conmale wrote:

deny và allow là những khái niệm gì mà chỉ cần nhiều kiến thức về network mà không cần nhiều kiến thức về fw? 

không phải là deny, allow. Để hình thành chính sách bảo mật thì cần am hiểu kiến thức về network, và fw như là "phương tiện" cụ thể hóa chính sách này, mà phân biệt kiến thức về network, về fw thì không rõ ràng, nói chung em nhận định không chính xác.


[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 05/12/2007 04:36:36 (+0700) | #14 | 101934
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Chà.... có vẻ như em chọn hướng tiếp cận... ngược chiều rồi.

Tiếp cận với bất cứ thiết bị bảo mật nào luôn luôn đi từ nhu cầu để hình thành giải pháp thỏa mãn nhu cầu chớ không thể triển khai từ hướng kỹ thuật có cái gì rồi mới tạo giải pháp. Để hình thành chính sách bảo mật thì phải khai triển từ chỗ "muốn bảo mật cái gì" chớ không phải "có cái gì để bảo mật" bởi vì định nghĩa bảo mật trong mỗi hoàn cảnh, mỗi nhu cầu khác nhau rất xa.

Ví dụ, em có một web server, nhu cầu của em là bảo mật nó. Đây là nhu cầu tổng quan. Kế tiếp, em mới mở rộng ra, bảo mật cho nó gồm có những gì? Giả sử:
1) trên bình diện mạng,
- em cần nó bền bỉ, có thể chịu đựng những dạng tấn công từ chối dịch vụ.
- em muốn loại bỏ những dạng tấn công dựa vào các điểm thiếu chặt chẽ của IPv4.
- em muốn chỉ có các mạng nào đó được quyền truy cập.
- em muốn chỉ cho phép truy cập đến cổng dịch vụ http mà thôi.
.....v...v....

2) trên bình diện ứng dụng,
- em cần kiểm tra các request đi vào dịch vụ web xem chúng có mang tính bất hợp lệ hay không.
- em cần duyệt soát kỹ lưỡng các request có chứa thông tin cần thiết và điều tác thông tin đi vào thế nào để bảo tồn tài nguyên.
- em cần cơ chế thông báo những biến cố mang tính đáng ngờ.
.....v...v....

Từ đó em mới xét vấn đề trên từng bình diện một để chọn một sản phẩm hoặc một giải pháp khả dĩ.


Đối với việc nghiên cứu chức năng của một firewall, kiến thức về mạng tất nhiên là cần thiết nhưng nó cũng gắn liền với nhu cầu được đặt ra ở trên. Ví dụ:

allow_all: không thỏa mãn đòi hỏi 1.
allow_some: không thỏa mãn đòi hỏi 2.
deny_all: không thỏa mãn đòi hỏi 3.

Hơn thế nữa, ở mỗi chế độ, FW lại có trạng thái hoạt động khác nhau. Lúc này mới là lúc động đến giao thức, động đến kỹ thuật để phân tích sâu hơn.


Ngay cả nếu không có một nhu cầu gì rõ ràng, ít ra em cần thu thập những điểm chính yếu nào đó để tìm hiểu chức năng của một firewall. Không thể thử nghiệm, tìm hiểu nó mà bắt đầu từ trang giấy trắng được.

Có lẽ anh không hiểu ý em muốn gì.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 05/12/2007 05:55:32 (+0700) | #15 | 101959
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]
trước tiên em giải thích allow_all và deny_all một tí, vì em thấy anh dùng "allow_some", thực ra thì allow_all, deny_all cũng là "allow_some". Policy của firewall là một tập các rules( allow, hoặc deny). Khi tiếp cận allow_all thì ta chỉ cài đặt các rule deny, còn lại allow. Khi tiếp cận deny_all thì ngược lại, ta cài đặt các luật allow, còn lại deny. Với chính sách allow_all ít được dùng vì rất không an toàn vì người quản trị không thể nào quản lý hết các nguồn nguy ngại để mà deny, chưa kể những nguy hại mới phát sinh.

trở lại vấn đề em hỏi bảo mật web server.
tiếp cận deny_all: mặc định cấm tất cả, và cài đặt các rules cho phép( ở đây cho phép dịch vụ http trên cổng 80), các luật deny cụ thể(ví dụ cấm seg SYNACK, ăn theo topic DrDOS).

deny tcp from any to server 80 tcpflags syn&ack
allow tcp from any to server 80 in [keep-state]
allow tcp from server 80 to any out [keep-state]
deny ip from any to any


vấn đề ở luật deny ip from any to any , nó quá tối, em muốn tiếp cận allow_all là để làm rõ luật này, deny từ any to any là cụ thể deny những cía gì, còn lại mặc định cho phép:
chẳng hạn :

deny icmp from any to server 80
deny tcp from any to server 80 tcpflags syn&ack
.........????
allow ip from any to any

hì...em diễn đạt không rõ nên anh không hiểu ý em thật smilie


[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 05/12/2007 06:19:37 (+0700) | #16 | 101969
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

enn3exlibs wrote:
trước tiên em giải thích allow_all và deny_all một tí, vì em thấy anh dùng "allow_some", thực ra thì allow_all, deny_all cũng là "allow_some". Policy của firewall là một tập các rules( allow, hoặc deny). Khi tiếp cận allow_all thì ta chỉ cài đặt các rule deny, còn lại allow. Khi tiếp cận deny_all thì ngược lại, ta cài đặt các luật allow, còn lại deny. Với chính sách allow_all ít được dùng vì rất không an toàn vì người quản trị không thể nào quản lý hết các nguồn nguy ngại để mà deny, chưa kể những nguy hại mới phát sinh.

trở lại vấn đề em hỏi bảo mật web server.
tiếp cận deny_all: mặc định cấm tất cả, và cài đặt các rules cho phép( ở đây cho phép dịch vụ http trên cổng 80), các luật deny cụ thể(ví dụ cấm seg SYNACK, ăn theo topic DrDOS).

deny tcp from any to server 80 tcpflags syn&ack
allow tcp from any to server 80 in [keep-state]
allow tcp from server 80 to any out [keep-state]
deny ip from any to any


vấn đề ở luật deny ip from any to any , nó quá tối, em muốn tiếp cận allow_all là để làm rõ luật này, deny từ any to any là cụ thể deny những cía gì, còn lại mặc định cho phép:
chẳng hạn :

deny icmp from any to server 80
deny tcp from any to server 80 tcpflags syn&ack
.........????
allow ip from any to any

hì...em diễn đạt không rõ nên anh không hiểu ý em thật smilie


 


À... hoá ra em thắc mắc mấy cái ipfilter rule?

Đoạn màu vàng mà em đưa ra theo thuật ngữ chuyên môn nó gọi là "catch all" rule đó. Nó có tác dụng deny hết tất cả ngoài những gì đã allow ở phiá trên. Nếu em dùng allow all ở dòng cuối cùng, firewall của em hoàn toàn vô dụng.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 05/12/2007 22:18:37 (+0700) | #17 | 102063
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

conmale wrote:

À... hoá ra em thắc mắc mấy cái ipfilter rule?
 

vâng, em thắc mắc cần thêm những rules nào chỗ tô đỏ?


[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 05/12/2007 22:49:55 (+0700) | #18 | 102070
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

enn3exlibs wrote:

conmale wrote:

À... hoá ra em thắc mắc mấy cái ipfilter rule?
 

vâng, em thắc mắc cần thêm những rules nào chỗ tô đỏ?


 


Đọc kỹ lại câu trả lời ở trên.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 05/12/2007 23:19:36 (+0700) | #19 | 102076
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]
em đã đọc kỹ rồi mới gởi bài mới. Anh phán: "firewall của em hoàn toàn vô dụng". Thứ nhất fw kiểu này không phải hoàn toàn vô dụng, vẫn được dùng khi không đòi hỏi khắt khe về bảo mật, hay dữ liệu bị mất không ảnh hưởng nghiêm trọng, dùng để ngăn một số nguồn nguy hại cụ thể. Thứ hai từ đầu em có đề cập đến hiệu năng của fw đâu?

thực sự từ đầu những bài viết của anh quá xa với câu hỏi của em, vì muốn tìm hiểu em mới nhiều lần giải thích câu hỏi của mình, thôi em kết thúc ở đây.


[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 06/12/2007 00:50:52 (+0700) | #20 | 102095
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

enn3exlibs wrote:
em đã đọc kỹ rồi mới gởi bài mới. Anh phán: "firewall của em hoàn toàn vô dụng". Thứ nhất fw kiểu này không phải hoàn toàn vô dụng, vẫn được dùng khi không đòi hỏi khắt khe về bảo mật, hay dữ liệu bị mất không ảnh hưởng nghiêm trọng, dùng để ngăn một số nguồn nguy hại cụ thể. Thứ hai từ đầu em có đề cập đến hiệu năng của fw đâu?

thực sự từ đầu những bài viết của anh quá xa với câu hỏi của em, vì muốn tìm hiểu em mới nhiều lần giải thích câu hỏi của mình, thôi em kết thúc ở đây.


 


Thiếu! đừng bỏ bớt câu nói của người khác ra và nhảy thẳng đến kết luận. "Nếu em dùng allow all ở dòng cuối cùng, firewall của em hoàn toàn vô dụng". Vô dụng bởi vì rốt cuộc nó cho phép mọi thứ đi vào. Nếu chưa hiểu thì chịu khó tìm hiểu thêm.

Ngay từ đầu em nói rằng "ngăn mọi nguồn có khả năng gây nguy hại có thể", đây không phải là hiệu năng của FW thì là cái gì?

Thực sự từ đầu em không trình bày rõ ràng nên câu trả lời không đúng như ý em muốn. Nếu em nêu ra cụ thể rằng em đang làm quen với ipfilter firewall và em muốn hiểu các rule của nó thì nội dung thảo luận đã khác rồi. Nên rút kinh nghiệm cho việc trình bày lần sau để tránh phí thời gian và bị lạc đề.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 06/12/2007 01:44:46 (+0700) | #21 | 102109
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

conmale wrote:

enn3exlibs wrote:
em đã đọc kỹ rồi mới gởi bài mới. Anh phán: "firewall của em hoàn toàn vô dụng". Thứ nhất fw kiểu này không phải hoàn toàn vô dụng, vẫn được dùng khi không đòi hỏi khắt khe về bảo mật, hay dữ liệu bị mất không ảnh hưởng nghiêm trọng, dùng để ngăn một số nguồn nguy hại cụ thể. Thứ hai từ đầu em có đề cập đến hiệu năng của fw đâu?

thực sự từ đầu những bài viết của anh quá xa với câu hỏi của em, vì muốn tìm hiểu em mới nhiều lần giải thích câu hỏi của mình, thôi em kết thúc ở đây.


 


Thiếu! đừng bỏ bớt câu nói của người khác ra và nhảy thẳng đến kết luận. "Nếu em dùng allow all ở dòng cuối cùng, firewall của em hoàn toàn vô dụng". Vô dụng bởi vì rốt cuộc nó cho phép mọi thứ đi vào. Nếu chưa hiểu thì chịu khó tìm hiểu thêm.
 

tại sao lại cho phép mọi thứ đi vào vậy anh? em xin nêu: "ở dòng cuối cùng" nó khác với ở dòng trên cùng, trước khi đến dòng cuối cùng thì đã bị chặn từ trên. Em thật sự không biết có fw nào hoạt động ngược lại( nghĩa là nó xử lý rule từ dưới lên) nếu có thì quả là em phải tìm hiểu thêm mới dám hỏi.

conmale wrote:

Ngay từ đầu em nói rằng "ngăn mọi nguồn có khả năng gây nguy hại có thể", đây không phải là hiệu năng của FW thì là cái gì?
 

em có đưa cùng vài điều kiện: không dùng NAT, chỉ dùng packet filter, áp dụng allow_all, như thế hiệu năng bị giới hạn trong những điều kiện này(thử nghĩ thì không có làm việc gì mà không có hiệu năng). Em nói "từ đầu em có đề cập đến hiệu năng của fw đâu" là nói đến cái "hiệu năng của anh": phải dùng NAT, phải dùng proxy,... để bảo mật tốt nhất có thể... em đang đặt vấn đề để học hỏi mà?

conmale wrote:

Thực sự từ đầu em không trình bày rõ ràng nên câu trả lời không đúng như ý em muốn. Nếu em nêu ra cụ thể rằng em đang làm quen với ipfilter firewall và em muốn hiểu các rule của nó thì nội dung thảo luận đã khác rồi. Nên rút kinh nghiệm cho việc trình bày lần sau để tránh phí thời gian và bị lạc đề. 

vâng, em đang tự hỏi khả năng trình bày của mình.


[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 08/12/2007 15:29:44 (+0700) | #22 | 102742
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
ại sao lại cho phép mọi thứ đi vào vậy anh? em xin nêu: "ở dòng cuối cùng" nó khác với ở dòng trên cùng, trước khi đến dòng cuối cùng thì đã bị chặn từ trên. Em thật sự không biết có fw nào hoạt động ngược lại( nghĩa là nó xử lý rule từ dưới lên) nếu có thì quả là em phải tìm hiểu thêm mới dám hỏi.
 


Thế này, có firewall xử lí rule từ trên xuống, cũng có firewall xử lí rule từ dưới lên, cái quan trọng là bạn đặt câu hỏi trong khi đang thử nghiệm firewall nào.

-Trường hợp firewall của bạn xét rule từ trên xuống: allow_all đặt trên đầu thì allow tất cả (như bạn nói), firewall vô tác dụng, nếu ta sắp xếp các rule deny_one trên rule allow_all này thì ngoài các thứ bị "deny", các thứ còn lại đi vào được hết.
-Trường hợp firewall xét rule từ trên xuống, cũng thế nhưng ngược lại thôi.
Vấn đề này đâu đáng để đi đến "xung đột" quá đáng nhỉ?


**Thử trả lời câu hỏi của bạn:
Nếu dùng Allow_all, bạn phải liệt kê từng thứ một muốn deny, có nghĩa bạn phải tạo một dãy rule dài dòng, phức tạp phía trên rule allow_all
deny xxx from A to B 

Theo yêu cầu của bạn _ngăn mọi nguồn có khả năng gây nguy hại có thể_, bạn phải tạo bao nhiêu rule như trên?

Câu hỏi của anh Conmale _ Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy?_ chắc là ám chỉ điều này

smilie
Nếu dùng deny_all bạn sẽ tiết kiệm đc nhiều công sức viết rule, và sắp xếp rule cho hợp lí.


--Vài ý kiến
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 08/12/2007 22:02:25 (+0700) | #23 | 102761
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

mR.Bi wrote:
ại sao lại cho phép mọi thứ đi vào vậy anh? em xin nêu: "ở dòng cuối cùng" nó khác với ở dòng trên cùng, trước khi đến dòng cuối cùng thì đã bị chặn từ trên. Em thật sự không biết có fw nào hoạt động ngược lại( nghĩa là nó xử lý rule từ dưới lên) nếu có thì quả là em phải tìm hiểu thêm mới dám hỏi.
 


Thế này, có firewall xử lí rule từ trên xuống, cũng có firewall xử lí rule từ dưới lên, cái quan trọng là bạn đặt câu hỏi trong khi đang thử nghiệm firewall nào.
 

bạn có thể cho biết fw nào xử lý rule từ dưới lên không( cả loại phần cứng lẫn phần mềm)? mình chỉ biết các thiết bị cisco(phần cứng) hay wipfw(phần mềm) đều xử lý từ trên xuống

mR.Bi wrote:

Vấn đề này đâu đáng để đi đến "xung đột" quá đáng nhỉ?
 

xung đột gì đâu mà quá đáng bồ smilie

mR.Bi wrote:

-Trường hợp firewall xét rule từ trên xuống, cũng thế nhưng ngược lại thôi.
-Trường hợp firewall của bạn xét rule từ trên xuống: allow_all đặt trên đầu thì allow tất cả (như bạn nói), firewall vô tác dụng, nếu ta sắp xếp các rule deny_one trên rule allow_all này thì ngoài các thứ bị "deny", các thứ còn lại đi vào được hết.


**Thử trả lời câu hỏi của bạn:
Nếu dùng Allow_all, bạn phải liệt kê từng thứ một muốn deny, có nghĩa bạn phải tạo một dãy rule dài dòng, phức tạp phía trên rule allow_all
deny xxx from A to B 

Theo yêu cầu của bạn _ngăn mọi nguồn có khả năng gây nguy hại có thể_, bạn phải tạo bao nhiêu rule như trên?

Câu hỏi của anh Conmale _ Cái gì khiến cho em có ý tưởng khai triển từ hướng "allow_all" vậy?_ chắc là ám chỉ điều này

smilie
Nếu dùng deny_all bạn sẽ tiết kiệm đc nhiều công sức viết rule, và sắp xếp rule cho hợp lí.

--Vài ý kiến 

hình như bạn đọc không kỹ smilie
thanks

[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 09/12/2007 02:19:25 (+0700) | #24 | 102792
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
bạn thử set up một con ISA 2000 và set một rule deny_all ở phía dưới xem?
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 09/12/2007 02:27:16 (+0700) | #25 | 102793
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
hình như bạn đọc không kỹ  


Mình thường đọc ko kĩ smilie
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 09/12/2007 03:18:16 (+0700) | #26 | 102798
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

mR.Bi wrote:
bạn thử set up một con ISA 2000 và set một rule deny_all ở phía dưới xem?
 

chào bạn, mình chưa dùng ISA bao giờ, nên tạm thời cho là như thế. smilie

Có điều những fw loại đó khi xử lý tập luật đặt trong một file riêng thì như thế nào? Nó sẽ đọc file từ cuối trở về đầu, khi nào thì dừng lại( EOF), sao tự làm khó "nó" nhỉ, giống như mình đọc sách mà thứ tự từ dưới lên vậy smilie

[Up] [Print Copy]
  [Question]   Re: Thiết lập c/sách bảo mật cho web server, fpt server? 09/12/2007 03:52:11 (+0700) | #27 | 102804
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
nó xét tới deny_all hoặc allow all thì dừng. Mình nghĩ thế, vì mình cũng chỉ sừ dụng ISA 2004, chưa chạm tới ISA 2000, nhưng theo một vài tài liệu lượm lặt đc thì ISA 2000 xét rule như thế.
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|